Czym jest atak na łańcuch dostaw?

tball

Supply Chain Attack to rodzaj cyberataku, którego celem są mniej bezpieczne elementy łańcucha dostaw organizacji, a nie bezpośredni atak na organizację. 

Atak na łańcuch dostaw

W ostatnich latach ataki na łańcuch dostaw spowodowały straty na całym świecie. Jest to rodzaj cyberataku, który wykorzystuje relacje zaufania między organizacjami i używa przejętego partnera jako punktu wejścia do kolejnych ofiar. Celem jest infiltracja sieci lub systemów organizacji poprzez narażenie na niebezpieczeństwo zewnętrznego dostawcy, dostawcy lub partnera, który ma dostęp do jej danych, oprogramowania lub infrastruktury sieciowej. 

Cechą charakterystyczną takiego ataku jest to, że umożliwia on pośrednie przeniknięcie do systemów, poprzez najpierw złamanie zabezpieczeń mniej chronionych ogniw łańcucha, takich jak dostawcy zewnętrzni. Ponieważ są oni częścią codziennych procesów, atak często pozostaje niezauważony aż do poważnych konsekwencji.

Kluczowe cechy ataków na łańcuch dostaw

Podejście pośrednie

Zamiast atakować bezpośrednio organizację docelową, atakujący atakują zaufaną stronę trzecią, taką jak dostawca oprogramowania, dostawca sprzętu lub wykonawca usług. Ta strona trzecia staje się następnie kanałem dostarczającym złośliwy ładunek do ostatecznego celu. 

Złożoność i skala

Ataki na łańcuch dostaw mogą być złożone, obejmować wiele etapów i wpływać na dużą liczbę organizacji. Atakujący mogą umieszczać złośliwy kod lub sprzęt na różnych etapach łańcucha dostaw, co utrudnia ich wykrycie. 

Nadużywanie zaufania

Ataki te wykorzystują relacje zaufania między organizacją a jej dostawcami. Ponieważ zewnętrzni dostawcy często mają uprzywilejowany dostęp do systemów organizacji lub wrażliwych danych, stają się atrakcyjnym celem dla atakujących. 

Szerokie oddziaływanie

Skutki ataku na łańcuch dostaw mogą być znaczące, wpływając nie tylko na główny cel, ale potencjalnie na tysiące innych organizacji, które polegają na zagrożonej stronie trzeciej. 

Rodzaje ataków na łańcuch dostaw

Ataki na łańcuch dostaw można podzielić na trzy główne typy w zależności od punktu wyjścia:

Ataki na łańcuch dostaw oprogramowania

Polegają na przejęciu procesów tworzenia lub dystrybucji oprogramowania, aby wstrzyknąć złośliwy kod. Dzięki temu atakujący mogą dostać się do organizacji za pośrednictwem legalnie wyglądającego oprogramowania.

Najczęstsze wektory ataku to kod open source, narzędzia administracyjne i popularne aplikacje. Przestępcy zwykle najpierw atakują zaufanego dostawcę, a następnie wykorzystują serwery aktualizacji lub dystrybucji, by rozesłać zainfekowane wersje.

Jeśli oprogramowanie jest szeroko stosowane, skutki mogą objąć wiele firm jednocześnie.

Ataki na łańcuch dostaw oprogramowania

Ataki na łańcuch dostaw usług

Celem są dostawcy usług (np. Managed Service Providers), których zaufane dostępy pozwalają rozprzestrzeniać malware u klientów.

Znanym przykładem jest atak ransomware na Kaseya VSA w 2021 roku. Przestępcy przejęli MSP korzystające z tej platformy i rozprzestrzenili ransomware wśród ich klientów. MSP odpowiadają za zarządzanie sieciami klientów, więc stanowią dogodne punkty dystrybucji malware, w tym ransomware.

Szacuje się, że skutki dotknęły nawet 1.500 organizacji.

Ataki na łańcuch dostaw usług

Ataki na łańcuch dostaw biznesowy

Ataki te wykorzystują szeroką sieć partnerów, dostawców i operatorów logistycznych do infiltracji głównego celu.

Technika ta stała się tak powszechna, że uważa się ją za standardowe podejście.

Trend Micro stale obserwuje grupy takie jak Earth Hundun (BlackTech) i Earth Tengshe (APT10), które najpierw przejmują filie zagraniczne, a następnie przenikają do krajowych struktur firmy.

Ataki na łańcuch dostaw biznesowy

Kategorie ataków na łańcuch dostaw

  • Naruszone aktualizacje oprogramowania: Atakujący wprowadzają złośliwy kod do aktualizacji oprogramowania, które są dystrybuowane do dużej liczby użytkowników.
  • Naruszone biblioteki stron trzecich: Wstawianie złośliwego kodu do bibliotek lub innych elementów zależnych, które są zintegrowane z legalnym oprogramowaniem.
  • Naruszony sprzęt lub oprogramowanie: Wprowadzanie złośliwych komponentów sprzętowych lub oprogramowania do produktów podczas procesu produkcji lub dystrybucji.
  • Przechwytywanie narzędzi deweloperskich: Naruszenie narzędzi używanych przez programistów, takich jak zintegrowane środowiska programistyczne (IDE) lub potoki ciągłej integracji/ciągłego wdrażania (CI/CD).
  • Naruszenie zależności oprogramowania: Wprowadzanie złośliwego kodu do legalnych i szeroko wykorzystywanych zależności oprogramowania.
  • Wyciek danych za pośrednictwem wykorzystanych protokołów: Wykorzystywanie luk w protokołach takich jak SMB, TLS, SSH lub bezpośrednie atakowanie baz danych za pomocą metod takich jak wstrzykiwanie kodu SQL w celu eksfiltracji danych.
  • Celowanie w projekty open source: Atakowanie projektów open source, które są powszechnie używane, wstawianie złośliwego kodu, który może mieć wpływ na wiele kolejnych projektów.

Przykłady ataków na łańcuchu dostaw 

Atak SolarWinds (2020)

Atakujący przeniknęli do mechanizmu aktualizacji oprogramowania Orion firmy SolarWinds, dostarczając złośliwe aktualizacje do ponad 18 000 klientów, w tym agencji rządowych i dużych korporacji. 

Zasoby: Alert CISA w SolarWinds

RockYou2024 (2024)

Wyciek haseł „RockYou2024”, w którym prawie 10 miliardów wcześniej naruszonych danych uwierzytelniających zostało zebranych i opublikowanych na forum hakerskim, podkreśla znaczące ryzyko dla łańcucha dostaw związane z agregacją, ponownym wykorzystaniem i publiczną ekspozycją naruszonych danych uwierzytelniających na wielu platformach i usługach. 

Zasoby: Niemal 10 miliardów haseł wyciekło w ramach największej kompilacji wszech czasów

Duże modele językowe (LLM) i publiczne chatboty (2024)

Publiczne chatboty zasilane przez LLM mogą nieumyślnie ujawniać poufne informacje wewnętrzne udostępniane podczas interakcji, wykorzystując zaufanie, jakim firmy darzą te usługi AI, co podkreśla ryzyko związane z poleganiem na zewnętrznych platformach AI, które mogą nieumyślnie wyciekać poufne dane poprzez swoje procesy uczenia się i interakcji. 

Zasoby: Niestandardowe chatboty OpenAI ujawniają swoje tajemnice

Naruszenie bezpieczeństwa serwera PHP Git (2021)

Atakujący włamali się na serwer Git PHP, próbując wprowadzić backdoora do kodu źródłowego popularnego języka skryptowego. 

Zasoby: ZDNet na PHP Git Server Hack

Naruszenie bezpieczeństwa IoT i OT

Boczny ruch od początkowego wektora ataku, takiego jak spear phishing, do urządzeń IoT lub OT, takich jak kamery i drukarki, można również postrzegać jako przeskakiwanie wysp. 

Zasoby: Krebs w raporcie bezpieczeństwa

Dane publiczne USA (2024)

Naruszenie było możliwe dzięki lukom w siostrzanej właściwości, RecordsCheck, które umożliwiły atakującym wykorzystanie relacji zaufania między powiązanymi usługami w celu uzyskania dostępu do poufnych danych. 

Zasoby: Naruszenie krajowych danych publicznych: Wyciek tylko 134 milionów unikalnych wiadomości e-mail i firma potwierdza incydent

Trend Vision One Platform

Jedna platforma pozwoli szybciej powstrzymywać ataki i przejmować kontrolę nad cyberzagrożeniami. Zarządzaj bezpieczeństwem całościowo za pomocą wszechstronnych narzędzi do zapobiegania, detekcji i reagowania opartych na AI i popartych naszymi badaniami i wywiadem dotyczącymi zagrożeń.

Trend Vision One obsługuje różne hybrydowe środowiska IT, automatyzuje i orkiestruje przepływy pracy oraz zapewnia specjalistyczne usługi cyberbezpieczeństwa, co pozwala uprościć i ujednolicić operacje związane z bezpieczeństwem.